Iniciar sesión 

Autenticación reforzada de clientes

Lo que las empresas de Internet deben saber sobre la nueva normativa europea

Foto del avatar de Michael Cocoman
Michael Cocoman
Foto del avatar de Olivier Godement, product manager
Olivier Godement, product manager
  1. Introducción
  2. ¿Qué es la autenticación reforzada de clientes?
    1. ¿Cuándo se requiere una autenticación reforzada de clientes?
    2. Cómo autenticar un pago
    3. Exenciones a la autenticación reforzada de clientes
    4. ¿Qué sucede si falla una exención?
    5. Cómo Stripe te ayuda a cumplir con los requisitos de la autenticación reforzada de clientes

En esta guía, analizaremos con detalle estos nuevos requisitos conocidos como autenticación reforzada de clientes (SCA) y los tipos de pago que se verán afectados. Finalmente, nos referiremos a las exenciones que se podrán usar para las transacciones de bajo riesgo con el fin de ofrecer una experiencia de compra sin fricciones.

Hemos publicado una guía para ayudarte a determinar cuándo añadir el paso de autenticación en el recorrido del cliente. Visita nuestro sitio para obtener más información sobre los productos de Stripe listos para SC

¿Qué es la autenticación reforzada de clientes?

La autenticación reforzada de clientes (SCA) es un requisito normativo de Europa para reducir el fraude y redoblar la seguridad de los pagos por Internet y fuera de línea sin contacto. Para aceptar pagos y cumplir con los requisitos de la SCA, tendrás que incorporar un paso adicional de autenticación al flujo de tu proceso de compra. La SCA exige que en la autenticación se utilicen al menos dos de los siguientes tres elementos.

Si quieres leer los requisitos originales de la SCA, están establecidos en las normas técnicas de regulación o NTR. Los bancos deberán comenzar a rechazar pagos que requieran SCA y no cumplan con estos criterios.

¿Cuándo se requiere una autenticación reforzada de clientes?

La autenticación reforzada de clientes se aplica a los pagos en línea y sin contacto "iniciados por el cliente" en Europa. Como resultado, la mayoría de los pagos con tarjeta y todas las transferencias bancarias requieren SCA. Por otro lado, se consideran "iniciados por el comerciante" los adeudos directos recurrentes y que no requieren una autenticación reforzada.

Para los pagos con tarjeta en línea, estos requisitos se aplican a transacciones en las que tanto la empresa como el banco del titular de la tarjeta se encuentran en el Espacio Económico Europeo (EEE).

Cómo autenticar un pago

Actualmente, la forma más común de autenticar un pago con tarjeta en línea se basa en 3D Secure, un estándar de autenticación compatible con la gran mayoría de tarjetas europeas. Generalmente, la aplicación de 3D Secure añade otro paso adicional después del proceso de compra en el cual el banco solicita al titular de la tarjeta que proporcione información adicional para completar un pago (por ejemplo, un código único enviado a su teléfono o autenticación de huellas digitales a través de su aplicación de banca móvil).

3D Secure 2, la nueva versión del protocolo de autenticación que se implementará en 2019, es el método principal para autenticar los pagos en línea con tarjeta y cumplir con los nuevos requisitos de la SCA. Esta versión ofrece una mejor experiencia de usuario que ayuda a minimizar parte de la fricción que la autenticación añade al flujo del proceso de compra.

Las transacciones con tarjeta fuera de línea cumplen normalmente con los requisitos de autenticación con la introducción del código PIN.

Otros métodos de pago con tarjeta, como Apple Pay o Google Pay ya admiten flujos de pago con una capa de autenticación integrada (biométrica o con contraseña). Pueden ser una excelente manera de que las empresas ofrezcan una experiencia de proceso de compra sin fricciones mientras cumplen con los nuevos requisitos.

También esperamos que muchos métodos de pago europeos habituales, como iDEAL, Bancontact o Multibanco sigan las nuevas reglas de la SCA sin grandes cambios en su experiencia de usuario.

Exenciones a la autenticación reforzada de clientes

Bajo esta nueva regulación, los tipos específicos de pagos de bajo riesgo pueden estar exentos de la autenticación reforzada de clientes. Proveedores de pago como Stripe pueden solicitar estas exenciones al procesar el pago. El banco del titular de la tarjeta recibirá la solicitud, evaluará el nivel de riesgo de la transacción y, en última instancia, decidirá si aprueba la exención o si la autenticación sigue siendo necesaria.

La integración de la autenticación en el flujo de tu proceso de comprar incorpora un paso más que puede añadir fricción y aumentar el abandono de clientes. Con las exenciones para pagos de bajo riesgo se puede reducir la cantidad de veces que es necesaria la autenticación del cliente y reducir de ese modo la fricción. Hemos diseñado nuestros nuevos productos para pagos listos para SCA para que puedas aprovechar las exenciones cuando sea posible y así proteger tu conversión.

Las exenciones más relevantes para las empresas de Internet son:

Transacciones de bajo riesgo

Un proveedor de pagos (como Stripe) puede realizar un análisis de riesgo en tiempo real para determinar si aplica SCA a una transacción. Esto solo puede ser posible si las tasas generales de fraude del proveedor de pagos o del banco para los pagos con tarjeta no superan los siguientes umbrales:

  • 0,13 % para eximir transacciones por debajo de 100 €
  • 0,06 % para eximir transacciones por debajo de 250 €
  • 0,01 % para eximir transacciones por debajo de 500 €

Estos umbrales se convertirán a importes equivalentes locales cuando sea pertinente.

En los casos en los que solo la tasa de fraude del proveedor de pagos está por debajo del umbral, pero la del banco del titular de la tarjeta está por encima, esperamos que el banco rechace la exención y requiera autenticación.

Esta exención es una de las más útiles para las empresas y una de las más aceptadas por los bancos. La evaluación de riesgos integral y en tiempo real de Stripe Radar nos permite aceptar esta exención para nuestros usuarios.

Pagos por debajo de 30 €

Esta es otra exención que se puede utilizar para pagos de un importe bajo. Las transacciones por debajo de 30 € se consideran de “valor bajo” y pueden estar exentas de SCA. Sin embargo, los bancos deben solicitar la autenticación si la exención se ha utilizado cinco veces desde la última autenticación efectuada con éxito del titular de la tarjeta o si la suma de los pagos previamente exentos supera los 100 €. El banco del titular de la tarjeta debe realizar un seguimiento del número de veces que se ha utilizado esta exención y decidir si la autenticación es necesaria.

Debido a las estrictas limitaciones de esta exención, la exención para las transacciones de bajo riesgo será más relevante para la mayoría de los pagos. No obstante, admitiremos esta exención para nuestros usuarios.

Suscripciones con importes fijos

Esta exención puede aplicarse cuando el cliente realiza una serie de pagos recurrentes por el mismo importe, a la misma empresa. Se requiere SCA para el primer pago del cliente; sin embargo, los cargos posteriores pueden estar exentos de SCA.

Esta exención debería ser de gran utilidad a las empresas que ofrecen suscripciones y que sea aceptada ampliamente por los bancos europeos. Habilitamos esta exención para los usuarios de Stripe. Si estás usando Stripe Billing para crear suscripciones, aplicaremos automáticamente esta exención cuando corresponda y ayudaremos a gestionar las solicitudes de autenticación en caso de que el banco del cliente la rechace.

Transacciones iniciadas por comerciantes (incluidas suscripciones variables) Los pagos realizados con tarjetas guardadas cuando el cliente no está presente en el flujo del proceso de compra (lo que se conoce como "fuera de sesión") pueden considerarse como transacciones iniciadas por el comerciante. Estos pagos quedan técnicamente fuera del alcance de SCA. En la práctica, marcar un pago como una "transacción iniciada por el comerciante" será similar a solicitar una exención. Y como con cualquier otra exención, todavía depende del banco decidir si se necesita autenticación para la transacción.

Para utilizar transacciones iniciadas por el comerciante, debes autenticar la tarjeta cuando se está guardando o en el primer pago. Por último, debes obtener un acuerdo del cliente (también llamado "mandato") para poder cargar su tarjeta más adelante.

Se trata de un caso de uso fundamental para los modelos de negocio que dependen de pagos atrasados, cobran suscripciones con importes variables o facturan extensiones. Prevemos que será admitido y aceptado por la mayoría de los bancos europeos en el caso de que consideren que la transacción es de bajo riesgo.

La nueva API de Stripe te permite autenticar una tarjeta que se guarda para un uso posterior y marcar los pagos subsiguientes como "transacciones iniciadas por el comerciante".

Beneficiarios de confianza

Al completar la autenticación de un pago, los clientes pueden tener la opción de añadir una empresa en la que confían para evitar tener que autenticar compras futuras. Luego, estas empresas se incluyen en una lista de "beneficiarios de confianza" que guarda el banco del cliente o el proveedor de servicios de pago.

Si bien las listas de permisos pueden hacer que las compras recurrentes o las suscripciones les resulten más cómodas a los clientes, hasta ahora los bancos han adoptado esta función lentamente. Apoyaremos esta exención para nuestros usuarios cuando esté disponible.

Ventas telefónicas

Los datos de la tarjeta recopilados por teléfono quedan fuera del alcance de la SCA y no requieren autenticación. Este tipo de pagos a veces se denominan “pedidos telefónicos y pedidos por correo” (MOTO). De manera similar a los pagos exentos, las transacciones MOTO deben marcarse como tales, y el banco del titular de la tarjeta debe tomar la decisión final de aceptar o rechazar la transacción

Este es un caso de uso importante para cualquier empresa que acepte pagos por teléfono, y es ampliamente aceptado por los bancos. Los pagos creados a través del Dashboard de Stripe se marcarán automáticamente como pagos MOTO.

Si tu empresa cumple con la normativa PCI y has creado tu propio sistema para aceptar pedidos por teléfono, nuestras nuevas API de pagos te permitirán marcar un pago como MOTO. Contacta con nosotros para habilitar esta función en tu cuenta de Stripe y acceder a la documentación técnica.

Pagos corporativos

Esta exención puede cubrir pagos que se realizan con tarjetas "para viajes de empresa" (por ejemplo, cuando una tarjeta corporativa utilizada para administrar los gastos de viaje de los empleados se mantiene directamente con un agente de viajes en línea), así como pagos corporativos realizados con números de tarjetas virtuales (que también se emplean en el sector turístico).

Prevemos que esta exención tendrá poco uso fuera del sector de viajes debido a que su alcance es muy limitado. La exención misma solo puede ser solicitada por el banco del titular de la tarjeta, ya que ni la empresa ni los proveedores de servicios de pago (como Stripe) pueden detectar si una tarjeta pertenece a estas categorías.

¿Qué sucede si falla una exención?

Si bien las exenciones pueden ser muy útiles, es importante recordar que, al final, es el banco del titular de la tarjeta el que decide si acepta o no una exención. Los bancos pueden devolver nuevos códigos de rechazo para pagos que fallaron debido a la falta de autenticación. Después, estos pagos deben volver a enviarse al cliente con una solicitud de autenticación reforzada de clientes. Los productos listos para SCA de Stripe activan automáticamente esta autenticación adicional cuando los bancos lo solicitan.

Si tu empresa se ve afectada por la SCA, te recomendamos que prepares una alternativa en caso de que se rechace una exención y tu cliente necesite autenticarse. Esto es especialmente importante si cobras a tus clientes cuando no participan activamente en tu proceso de compra (es decir, cuando están fuera de sesión) y tu cliente necesita regresar a tu sitio web o aplicación para autenticarse. Consulta nuestra guía sobre el diseño de flujos de pago para SCA para obtener más información.

Cómo Stripe te ayuda a cumplir con los requisitos de la autenticación reforzada de clientes

Los cambios introducidos por esta nueva normativa afectarán en gran medida al comercio en línea europeo. Las empresas afectadas que no se preparen para estos nuevos requisitos podrían ver cómo su tasa de conversión cae significativamente a medida que los bancos europeos aumentan la aplicación de la SCA.

Además de admitir nuevos métodos de autenticación como 3D Secure 2, creemos que un componente clave para crear una experiencia de pagos de primera clase que minimiza la fricción es la gestión óptima de las exenciones. Nuestros nuevos productos de pagos se optimizan para diferentes normativas, bancos y redes de tarjetas, y aplican importantes exenciones para pagos de bajo riesgo, de modo que 3D Secure solo se activa cuando sea necesario. Y a medida que estas reglas cambien, podremos mantener y actualizar esta lógica de SCA en tiempo real, teniendo en cuenta el cronograma de cumplimiento de cada país.

Hemos lanzado una nueva API de pagos básica que utiliza la lógica de SCA de Stripe para aplicar la exención correcta y activar 3D Secure cuando sea necesario. Tanto Stripe Billing como nuestro nuevo Stripe Checkout se basan en esta API y pueden aplicar 3D Secure de forma dinámica cuando sea necesario.

Más información sobre los productos de Stripe listos para SCA. Si tienes alguna pregunta o comentario, contáctanos.

¿A punto para empezar? Contáctanos o crea una cuenta.

Crea una cuenta y empieza a aceptar pagos, sin necesidad de contratos ni datos bancarios. También puedes contactarnos para diseñar un paquete personalizado para tu empresa.